Hallo,

du solltest dir eine Klasse schreiben oder suchen, welche dir den Umgang mit SQL erleichtert. Idealerweise solltest du einen Objektrelationalen-Mapper verwenden, kurz ORM. Damit kann sowas bei richtiger Benutzung prinzipiell nicht passieren. Gute Beispiele dafür wären CakePHP oder Doctrine. Weitere findest du hier.

Alternativ, wenn dir das lieber ist, kannst du auch einfach die Prepared Statements von PHP in einer Klasse kapseln und das Escapen selbst übernehmen. Ich würde dir hier aber den ORM empfehlen. Dieser ist zwar weitaus komplexer, allerdings auch wesentlich einfacher im späteren Verlauf des Projektes und hat viele weitere Vorteile. Ich arbeite bei neuen Sachen mittlerweile ausschließlich damit.

Schade eigentlich dass dir das bisher niemand gesagt hat. Meiner Meinung nach geht es nur so richtig.

Liebe Grüße,
Valentin